.
A Fortinet confirmou que análises anteriores de registros vazados pelo Grupo Belsen são de fato configurações genuínas do FortiGate roubadas durante um ataque de dia zero em 2022.
Os dados vazados incluem endereços IP, configurações (incluindo regras de firewall) e senhas – algumas das quais estavam em texto simples, de acordo com o observador da infosec Kevin Beaumont, que primeiro cobriu o despejo de dados de Belsen.
Beaumont também disse que o vazamento parecia conter arquivos relacionados a cerca de 15 mil dispositivos Fortinet, organizados por país de origem. O fornecedor não comentou a escala do incidente.
Dizia, no entanto, que o Grupo Belsen – nomeado em homenagem ao campo de concentração de Bergen-Belsen, se você quiser ter uma ideia do caráter deste grupo – estava fazendo o vazamento ser um feito totalmente novo, quando na verdade os registros foram obtidos anos antes. , mas lançado apenas esta semana.
Indo mais fundo, Beaumont descobriu que a maioria das vítimas eram pequenas e médias empresas, com algumas empresas maiores também, e um pequeno número de governos não identificados.
“Todos os países que possuem produtos Fortinet no escopo são visíveis nos dados, exceto um – o Irã”, acrescentou.
“No Irã, nenhum dump de configuração está presente neste conjunto de dados, apesar do Shodan mostrar quase dois mil dispositivos com interfaces de gerenciamento ou VPN SSL expostos.”
Apenas uma vítima foi identificada na Rússia, localizada na Crimeia – um território disputado.
“Não se sabe por que estes países estão ausentes dos dados divulgados”, disse ele.
No entanto, o investigador aconselhou os clientes a estarem atentos a uma possível exploração, mesmo que tenham corrigido em 2022. Se os patches fossem aplicados depois de outubro de 2022, quando o CVE-2022–40684 foi explorado como um dia zero, então ainda poderia haver uma chance que suas configurações foram levantadas.
A opinião da Fortinet foi um pouco mais leve, confirmando que a maioria dos dispositivos afetados pela vulnerabilidade já foram corrigidos.
“Se a sua organização aderiu consistentemente às melhores práticas de rotina na atualização regular das credenciais de segurança e tomou as ações recomendadas nos anos anteriores, o risco da configuração atual da organização ou dos detalhes das credenciais na divulgação do ator da ameaça é pequeno”, disse na quinta-feira.
“Continuamos a recomendar fortemente que as organizações tomem as medidas recomendadas, caso ainda não o tenham feito, para melhorar a sua postura de segurança.
“Também podemos confirmar que os dispositivos adquiridos desde dezembro de 2022 ou dispositivos que executam apenas o FortiOS 7.2.2 ou superior não são afetados pelas informações divulgadas por este ator de ameaça.
“Se você estava executando uma versão afetada (7.0.6 e inferior ou 7.2.1 e inferior) antes de novembro de 2022 e ainda não realizou as ações recomendadas no comunicado, recomendamos fortemente que você revise as ações recomendadas para melhorar sua postura de segurança. “
O fornecedor também disse que entraria em contato proativamente com clientes que ainda possam estar em risco.
“Se você estiver dentro do escopo, pode ser necessário alterar as credenciais do dispositivo e avaliar o risco de as regras de firewall estarem disponíveis publicamente”, acrescentou Beaumont.
Uma coisa após a outra
Não foi um começo ideal para 2025 para a Fortinet (2024 também não foi ótimo), com notícias de outra possível campanha de exploração de dia zero surgindo há poucos dias.
Arctic Wolf Labs disse O Registro a campanha parecia começar no início de dezembro e terminar no final do mês.
Embora o ponto de intrusão nesses ataques não tenha sido vinculado a uma vulnerabilidade específica, nem tenha sido atribuído um identificador CVE, o principal pesquisador de informações sobre ameaças do fornecedor, Stefan Hostetler, disse que é “altamente provável” que um dia zero esteja envolvido. .
“Embora o vetor de acesso inicial usado nesta campanha ainda não tenha sido confirmado, o Arctic Wolf Labs avalia com alta confiança que a exploração em massa de uma vulnerabilidade de dia zero é provável, dada a linha do tempo compactada entre as organizações afetadas, bem como as versões de firmware afetadas”, disse Hostetler e colegas.
As invasões foram feitas por meio dos firewalls FortiGate da Fortinet, cujas versões variavam entre 7.0.14, lançada em fevereiro de 2024, e 7.0.16, lançada em outubro de 2024.
Espere mais relatórios sobre isso à medida que os detalhes surgirem. ®
.
